Положение об обработке персональных данных

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Защищаемая информация – информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.

Идентификация – присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.

Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Информация - сведения (сообщения, данные) независимо от формы их представления.

Использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.

Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.

Носитель информации – физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Обработка персональных данных без использования средств автоматизации – обработка персональных данных, при которой такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

Оператор (персональных данных) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Субъект персональных данных – физическое лицо, которое может быть однозначно идентифицировано по персональным данным.

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Целостность информации – состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право.

1. СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ

   1. Состав персональных данных, обрабатываемых в ИСПДн Учреждения, определяется «Перечнем персональных данных…».

   2. Перечень персональных данных утверждается Директором Учреждения.

   3. Директор Учреждения определяет перечень лиц из числа , уполномоченных на обработку персональных данных субъектов, обеспечивающих обработку персональных данных в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», других нормативных правовых актов Российской Федерации и несущих ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты этих персональных данных.

   4. Документы со сведениями, содержащими персональные данные, обрабатываются на рабочих местах работников, перечень которых определяется Директором Учреждения.

   5. Комплекс документов, сопровождающий процесс оформления трудовых отношений работника Учреждения при его приеме, переводе и увольнении.

      1. Информация, представляемая работником при поступлении на работу в Учреждение, должна иметь документальную форму. При заключении трудового договора в соответствии со ст. 65 Трудового кодекса Российской Федерации лицо, поступающее на работу, предъявляет работодателю:

         1. паспорт или иной документ, удостоверяющий личность;

         2. трудовую книжку, за исключением случаев, когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства, либо трудовая книжка у работника отсутствует в связи с ее утратой или по другим причинам;

         3. страховое свидетельство государственного пенсионного страхования;

         4. документы воинского учета – для военнообязанных и лиц, подлежащих воинскому учету;

         5. документ об образовании, о квалификации или наличии специальных знаний – при поступлении на работу, требующую специальных знаний или специальной подготовки;

         6. свидетельство о присвоении ИНН (при его наличии у работника).

      2. При оформлении работника в Учреждение заполняется унифицированная форма Т-2 «Личная карточка работника», в которой отражаются следующие анкетные и биографические данные работника:

         1. общие сведения (идентификационный номер налогоплательщика, номер страхового свидетельства государственного пенсионного страхования, пол, Ф.И.О. дата рождения, место рождения, гражданство, знание иностранного языка, образование, профессия, стаж работы, состояние в браке, состав семьи, серия, номер и дата выдачи паспорта, наименование органа, выдавшего паспорт, адрес и дата регистрации по месту жительства (месту пребывания), номер телефона);

         2. сведения о воинском учете;

         3. данные о приеме на работу;

      3. В дальнейшем в личную карточку вносятся:

         1. сведения о переводах на другую работу;

         2. сведения об аттестации;

         3. сведения о повышении квалификации;

         4. сведения о профессиональной переподготовке;

         5. сведения о наградах (поощрениях), почетных званиях;

         6. сведения об отпусках;

         7. сведения о социальных льготах.

      4. В Учреждении создаются и хранятся следующие группы документов, содержащие персональные данные работников в единичном или сводном виде:

         1. документы, содержащие персональные данные работников (комплексы документов, сопровождающие процесс оформления трудовых отношений при приеме на работу, переводе, увольнении; комплекс материалов по анкетированию, тестированию, проведению собеседований с кандидатом на должность; подлинники и копии приказов по личному составу; личные дела и трудовые книжки работников; дела, содержащие основания к приказу по личному составу; дела, содержащие материалы аттестации работников; служебных расследований; справочно-информационный банк данных по персоналу (картотеки, журналы); подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководству Учреждения, руководителям структурных подразделений; копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения);

         2. документация по Учреждению, работе отделов (положения, должностные инструкции работников, приказы);

         3. документы по планированию, учету, анализу и отчетности в части работы с персоналом Учреждения.

2. ПОРЯДОК ПРЕДОСТАВЛЕНИЯ ДОСТУПА К ПЕРСОНАЛЬНЫМ ДАННЫМ

   1. Допуск к персональным данным субъекта могут иметь только те работники Учреждения, которым персональные данные необходимы в связи с исполнением ими своих трудовых обязанностей. Перечень таких работников отражен в «Списке лиц, доступ которых к персональным данным необходим для выполнения трудовых обязанностей».

   2. Процедура оформления допуска к персональным данным представляет собой следующую строгую последовательность действий:

      1. ознакомление работника под роспись с настоящим Положением, «Перечнем персональных данных…» и другими локальными нормативно-правовыми актами Учреждения, касающимися обработки персональных данных;

      2. истребование с работника «Обязательства о неразглашении информации ограниченного доступа»;

      3. внесение работника в «Список лиц, доступ которых к персональным данным необходим для выполнения трудовых обязанностей» и в «Журнал учета лиц, допущенных к работе с персональными данными в информационных системах».

   3. Каждый работник должен иметь доступ к минимально необходимому набору персональных данных субъектов, необходимых ему для выполнения трудовых обязанностей.

   4. Работникам, не имеющим надлежащим образом оформленного допуска, доступ к персональным данным субъектов запрещается.

   5. Любой субъект имеет право, за исключением случаев, предусмотренных законодательством:

      1. на получение сведений об Учреждении в соответствии со ст. 14 ФЗ №152 от 27.06.2006 г.;

      2. на ознакомление со своими персональными данными;

      3. на уточнение, блокирование или уничтожение своих персональных данных в случае, если они являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленных Учреждением целей обработки.

   6. В случае если Учреждение на основании договора поручает обработку персональных данных другому лицу, существенным условием договора должна являться обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.

3. Обработка персональных данных

   1. Обработка персональных данных граждан, обратившихся в Учреждение, может осуществляться исключительно в целях осуществления деятельности, указанной в Уставе Учреждения, и в случаях, установленных законодательством Российской Федерации.

   2. При определении объема и содержания обрабатываемых персональных данных Учреждение должно руководствоваться Конституцией Российской Федерации от 25.12.1993, Трудовым кодексом Российской Федерации от 30.12.2001 № 197-ФЗ, Федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ и иными федеральными законами Российской Федерации.

   3. Персональные данные субъектов обрабатываются и хранятся в помещениях Учреждения и на учтенных машинных носителях в соответствии с «Инструкцией по учету машинных носителей».

   4. Персональные данные субъектов могут быть получены, обработаны и переданы на хранение как на бумажных носителях, так и в электронном виде – в локальной компьютерной сети, в компьютерных программах и электронных базах данных.

   5. При использовании типовых форм документов, обрабатываемых без использования средств автоматизации, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовая форма), должны соблюдаться следующие условия:

      1. типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы), должны содержать:

         1. сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации;

         2. имя (наименование) и адрес Учреждения;

         3. фамилию, имя, отчество и адрес субъекта персональных данных;

         4. источник получения персональных данных;

         5. сроки обработки персональных данных;

         6. перечень действий с персональными данными, которые будут совершаться в процессе их обработки;

         7. общее описание используемых Учреждением способов обработки персональных данных;

      2. типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, в тех случаях, когда существует необходимость получения письменного согласия на обработку персональных данных;

      3. типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;

      4. типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

   6. При ведении журналов (реестров, книг) без использования средств автоматизации, содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится Учреждение, или в иных аналогичных целях, должны соблюдаться следующие условия:

      1. необходимость ведения такого журнала (реестра, книги) должна быть предусмотрена актом Учреждения, содержащим:

         1. сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации;

         2. способы фиксации и состав информации, запрашиваемой у субъектов персональных данных;

         3. перечень лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги);

         4. сроки обработки персональных данных;

         5. сведения о порядке пропуска субъекта персональных данных на территорию, на которой находится Учреждение, без подтверждения подлинности персональных данных, сообщенных субъектом персональных данных;

      2. копирование содержащейся в таких журналах (реестрах, книгах) информации не допускается;

      3. персональные данные каждого субъекта персональных данных могут заноситься в такой журнал (книгу, реестр) не более 1 (одного) раза в каждом случае пропуска субъекта персональных данных на территорию, на которой находится Учреждение.

   7. При обработке персональных данных допущенные к ним лица обязаны соблюдать нижеперечисленные требования:

      1. Персональные данные не могут быть использованы в целях причинения имущественного и/или морального вреда субъектам персональных данных, затруднения реализации прав и свобод граждан Российской Федерации.

      2. должны быть ознакомлены под расписку с нормативными документами Учреждения, устанавливающими порядок обработки персональных данных субъектов, а также их права и обязанности в этой области.

         Субъекты персональных данных, не являющиеся Учреждения, имеют право ознакомиться с нормативными документами Учреждения, устанавливающими порядок обработки персональных данных субъектов, а также их права и обязанности в этой области.

      3. В случае выявления недостоверных персональных данных субъекта или неправомерных действий с ними Учреждения при обращении или по запросу гражданина, являющегося субъектом персональных данных, или его законного представителя, либо уполномоченного органа по защите прав субъектов персональных данных, необходимо осуществить блокирование персональных данных, относящихся к соответствующему гражданину, с момента такого обращения или получения такого запроса на период проверки.

      4. В случае подтверждения факта недостоверности персональных данных на основании документов, представленных субъектом персональных данных, или его законным представителем, либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов необходимо уточнить персональные данные и снять их блокирование.

      5. В случае выявления неправомерных действий с персональными данными в срок, не превышающий трех рабочих дней с даты такого выявления, необходимо устранить допущенные нарушения. В случае если обеспечить правомерность обработки персональных данных невозможно, Учреждение в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Учреждение обязано уведомить субъекта персональных данных, или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, – также указанный орган.

   8. Получение персональных данных

      1.  Учреждения и других субъектов персональных данных об их расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни, кроме случаев, когда субъект персональных данных дал согласие в письменной форме с указанием данных категорий персональных данных.

         Персональные данные следует получать лично у субъекта персональных данных. Субъект самостоятельно принимает решение о предоставлении своих персональных данных и дает письменное согласие на их обработку Учреждением в случаях, предусмотренных законодательством Российской Федерации. Форма заявления субъекта на обработку персональных данных представлена в Приложении 1 к настоящему Положению.

      2. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. Форма отзыва согласия на обработку персональных данных представлена в Приложении 2 к настоящему Положению.

      3. В случае возникновения необходимости получения персональных данных у третьей стороны следует известить об этом субъекта заранее, получить его письменное согласие и сообщить ему о целях, предполагаемых источниках и способах получения персональных данных. Форма заявления субъекта на получение его персональных данных от третьей стороны представлена в Приложении 3 к настоящему Положению.

      4. Работник Учреждения должен сообщить о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъекта дать письменное согласие на их получение.

      5. Работник Учреждения должен проверять достоверность персональных данных, сверяя данные, предоставленные субъектом или его законным представителем, с имеющимися у субъекта или его законного представителя документами.

      6. При принятии решений, затрагивающих интересы субъекта персональных данных, не допускается основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения.

   9. Хранение персональных данных

      1. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

      2. Хранение персональных данных субъектов осуществляется на бумажных и электронных носителях, доступ к которым ограничен.

      3. Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях без использования средств автоматизации.

      4. Личные дела хранятся в бумажном виде в папках, прошитые и пронумерованные по страницам. Личные дела хранятся в специально отведенной секции сейфа или металлического шкафа, обеспечивающего защиту от несанкционированного доступа.

      5. Работники, хранящие персональные данные на бумажных носителях, обеспечивают их защиту от несанкционированного доступа и копирования согласно «Положению об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденному постановлением Правительства Российской Федерации 15 сентября 2008 г. № 687.

      6. Безопасность персональных данных при их обработке с использованием технических и программных средств обеспечивается с помощью системы защиты персональных данных, включающей в себя организационные меры и средства защиты информации, удовлетворяющие устанавливаемым в соответствии с законодательством РФ требованиям, обеспечивающим защиту информации.

   10. При передаче персональных данных субъекта Учреждение обязано соблюдать нижеперечисленные требования:

       1. Передавать персональные данные субъектов допускается только тем работникам, которые имеют допуск к обработке персональных данных.

       2. Не сообщать персональные данные субъекта третьей стороне без письменного согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, предусмотренных Трудовым кодексом Российской Федерации и иными федеральными законами. Форма заявления субъекта на передачу его персональных данных третьей стороне представлена в Приложении 4 настоящего Положения.

       3. Предупредить лиц, получающих персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные субъекта, обязаны соблюдать требования конфиденциальности.

       4. Не сообщать персональные данные субъекта в коммерческих целях без его письменного согласия.

       5. Не запрашивать информацию о состоянии здоровья , за исключением тех сведений, которые относятся к вопросу о возможности выполнения им трудовой функции. Информация запрашивается с письменного согласия субъекта персональных данных.

       6. Передавать персональные данные субъекта представителям субъектов в порядке, установленном законодательством Российской Федерации, и ограничивать эту информацию только теми персональными данными субъекта, которые необходимы для выполнения указанными представителями их функций.

       7. Все сведения о передаче персональных данных субъекта регистрируются в Журнале учета запросов от сторонних лиц в целях контроля правомерности использования данной информации лицами, ее получившими. В журнале фиксируются сведения о лице, направившем запрос, дата передачи персональных данных или дата уведомления об отказе в их предоставлении, а также перечень переданной информации. Форма журнала представлена в Приложении 5 к настоящему Положению.

       8. Сведения о выдаче ответов на обращения граждан регистрируются в Журнале учета обращений граждан. Форма журнала представлена в Приложении 6 к настоящему Положению.

   11. Конфиденциальность персональных данных

       1. Учреждение обеспечивает конфиденциальность персональных данных, за исключением случаев обезличивания персональных данных и в отношении общедоступных персональных данных.

       2. Все меры конфиденциальности при сборе, обработке и хранении персональных данных субъекта распространяются как на бумажные, так и на электронные (машинные) носители информации.

       3. Все , имеющие доступ к персональным данным субъектов, обязаны подписать соглашение о неразглашении персональных данных. Форма соглашения о неразглашении персональных данных представлена в Приложении 7 настоящего Положения.

   12. Уничтожение персональных данных

       1. Персональные данные субъектов хранятся не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

       2. Документы, содержащие персональные данные, подлежат хранению и уничтожению в порядке, предусмотренном законодательством Российской Федерации, а также нормативными документами Учреждения.

       3. Уничтожение носителей информации (как бумажных, так и машинных) производится по решению Директора Учреждения.

       4. Вывод из эксплуатации машинного носителя производится путем его форматирования, либо путем его механического повреждения в присутствии ответственного за обеспечение безопасности персональных данных.

       5. Бумажные носители персональных данных уничтожаются в бумагорезательной машине, а также путем сжигания.

       6. По факту уничтожения персональных данных составляется акт, утверждаемый Учреждения, и делается отметка в соответствующем журнале. Форма акта представлена в Приложении 8 настоящего Положения.

4. Права и обязанности субъектов персональных данных и учреждения

   1. В целях обеспечения защиты персональных данных субъекты имеют право:

      1. получать полную информацию о своих персональных данных и обработке этих данных (в том числе автоматизированной);

      2. осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные, за исключением случаев, предусмотренных законодательством Российской Федерации;

      3. требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением законодательства Российской Федерации;

      4. при отказе Учреждения или уполномоченного им лица исключить или исправить персональные данные субъекта - заявить в письменной форме о своем несогласии, представив соответствующее обоснование;

      5. дополнить персональные данные оценочного характера заявлением, выражающим собственную точку зрения;

      6. требовать от Учреждения или уполномоченного им лица уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта, обо всех произведенных в них изменениях или исключениях из них;

      7. обжаловать в судебном порядке любые неправомерные действия или бездействие Учреждения или уполномоченного им лица при обработке и защите персональных данных субъекта.

   2. Субъект персональных данных или его законный представитель обязуется предоставлять персональные данные, соответствующие действительности.

   3. Для защиты персональных данных субъектов Учреждение:

      1. обеспечивает защиту персональных данных субъекта от неправомерного их использования или утраты в порядке, установленном законодательством Российской Федерации;

      2. производит ознакомление субъекта или его представителей с настоящим Положением и его правами в области защиты персональных данных под расписку;

      3. по запросу производит ознакомление субъекта персональных данных, не являющегося , или в случае недееспособности субъекта, его законных представителей с настоящим Положением и его правами в области защиты персональных данных;

      4. осуществляет передачу персональных данных субъекта только в соответствии с настоящим Положением и законодательством Российской Федерации;

      5. предоставляет персональные данные субъекта только уполномоченным лицам и только в той части, которая необходима им для выполнения их трудовых обязанностей в соответствии с настоящим положением и законодательством Российской Федерации;

      6. обеспечивает субъекту свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей его персональные данные, за исключением случаев, предусмотренных законодательством Российской Федерации;

      7. по требованию субъекта или его законного представителя предоставляет ему информацию о его персональных данных и обработке этих данных.

5. ОРГАНИЗАЦИЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

   1. Защита персональных данных субъекта от неправомерного их использования или утраты обеспечивается Учреждением за счет своих средств, если иное не предусмотрено законодательством РФ.

   2. В Учреждении защите подлежат все сведения, содержащие персональные данные субъектов, в том числе:

      1. < речевая (акустическая) информация, содержащая персональные данные;

      2. текстовая и графическая видовая информация, содержащая персональные данные;

      3. информация, представленная в виде информативных электрических сигналов, физических полей, содержащая персональные данные.

   3. Защита персональных данных должна вестись по трем взаимодополняющим направлениям:

      1. Проведение организационных мероприятий:

         1. разработка и внедрение внутренних организационно-распорядительных документов, регламентирующих обработку и защиту персональных данных субъектов, в том числе порядок доступа в помещения и к персональным данным;

         2. ознакомление с законодательством Российской Федерации и внутренними нормативными документами, получение обязательств, касающихся обработки персональных данных;

         3. проведение обучения вопросам защиты персональных данных.

      2. Программно-аппаратная защита:

         1. разработка модели угроз безопасности персональных данных;

         2. внедрение программно-аппаратных средств защиты информации, прошедших в соответствии с Федеральным законом № 184 от 27.12.2002 г. «О техническом регулировании» оценку соответствия;

         3. организация учета носителей персональных данных.

      3. Инженерно-техническая защита:

         1. установка сейфов или запирающихся шкафов для хранения носителей персональных данных;

         2. установка усиленных дверей, сигнализации, режима охраны здания и помещений, в которых обрабатываются персональные данные.

   4. Определение конкретных мер, общую организацию, планирование и контроль выполнения мероприятий по защите персональных данных осуществляет ответственный за обеспечение безопасности персональных данных в соответствии с законодательством в области защиты персональных данных и локальными нормативно-правовыми актами Учреждения.

   5. Организацию и контроль защиты персональных данных в Учреждении осуществляет ответственный за организацию обработки персональных данных Учреждения.

6. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных

   1. < > Учреждения, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта, несут дисциплинарную, административную, гражданско-правовую и уголовную ответственность в соответствии с законодательством Российской Федерации.

      Директор Учреждения за нарушение норм, регулирующих получение, обработку и защиту персональных данных субъектов, несет административную ответственность согласно ст. 5.27 и 5.39 Кодекса об административных правонарушениях Российской Федерации, а также возмещает субъекту ущерб, причиненный неправомерным использованием информации, содержащей персональные данные этого субъекта.

   2. Разглашение персональных данных субъекта (передача их посторонним лицам, в том числе другим , не имеющим к ним допуск), их публичное раскрытие, утрата документов и иных носителей, содержащих персональные данные субъекта, а также иные нарушения обязанностей по их защите и обработке, установленных настоящим Положением, локальными нормативно-правовыми актами (приказами, распоряжениями) Учреждения, влечет наложение на , имеющего доступ к персональным данным, дисциплинарных взысканий в виде: замечания, выговора, увольнения.

   3. < > Учреждения, имеющий доступ к персональным данным субъекта и совершивший указанный дисциплинарный проступок, несет полную материальную ответственность в случае причинения его действиями ущерба Учреждению (в соответствии с п.7 ст. 243 Трудового кодекса РФ).

      Кодексом Российской Федерации об административных правонарушениях предусмотрены следующие составы административных правонарушений:

      1. статья 5.27. Нарушение законодательства о труде и об охране труда;

      2. статья 5.39. Неправомерный отказ в предоставлении гражданину и (или) организации информации, предоставление которой предусмотрено федеральными законами, несвоевременное ее предоставление либо предоставление заведомо недостоверной информации;

      3. статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных);

      4. часть 2 статья 13.12. Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну);

      5. статья 13.14. Разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, за исключением случаев, предусмотренных частью 1 статьи 14.33 Кодекса;

      6. часть 1 статья 19.5. Невыполнение в установленный срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), об устранении нарушений законодательства (Роскомнадзор);

      7. статья 19.7. Непредставление или несвоевременное представление в государственный орган (должностному лицу) сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, а равно представление в государственный орган (должностному лицу) таких сведений (информации) в неполном объеме или в искаженном виде (уведомление Роскомнадзора).

   4. Уголовным кодексом Российской Федерации предусмотрены следующие преступления в области персональных данных:

      1. часть 1 статьи 137. Незаконное собирание или распространение персональных данных либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации;

      2. часть 2 статьи 137. Те же деяния, совершенные лицом с использованием своего служебного положения;

      3. статья 140. Неправомерный отказ должностного лица в предоставлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан;

      4. статья 272. Неправомерный доступ к охраняемой законом компьютерной информации (в т.ч. к персональным данным).

   5. В соответствии с Трудовым кодексом Российской Федерации:

      1. статья 90. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника;

      2. статья 192. За совершение дисциплинарного проступка, то есть неисполнение или ненадлежащее исполнение работником по его вине возложенных на него трудовых обязанностей, работодатель имеет право применить … дисциплинарные взыскания;

      3. по инициативе работодателя может быть расторгнут трудовой договор в случае разглашения персональных данных другого работника (пп в п. 6 ст. 81 ТК РФ).

          

 

Приложение 1 к Положению об обработке персональных данных

 

Форма заявления субъекта на обработку персональных данных

 

Директору МКУСО «Реабилитационный центр» Т.В.Поздеевой Г.Бакал, ул 50 лет ВЛКСМ, дом 8 от _______________________________,                                 (Фамилия Имя Отчество) __________________________________, (адрес) паспорт серия _____ номер __________, выдан ____________________________                    (наименование органа, выдавшего паспорт) ___________________      ___.___._____                                                                    (дата выдачи)

Согласие

Я, __________________________________________________________, в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», даю согласие МКУСО «Реабилитационный центр» Саткинского муниципального района  на обработку моих персональных данных, а именно:        

____________________________________________________________________________________          

(указать состав персональных данных)

____________________________________________________________________________________

____________________________________________________________________________________

для обработки в целях: ________________________________________________________________

                                                                                                                 (указать цели обработки)

____________________________________________________________________________________

____________________________________________________________________________________ .

Настоящее согласие дается на осуществление следующих действий в отношении моих персональных данных, которые необходимы для достижения указанных выше целей, включая, без ограничения: ________________________________________________________________________________________________________________________________________________________________________________________.

Способ обработки персональных данных: смешанный.

Я ознакомлен(а) с документами организации, устанавливающими порядок обработки персональных данных, а также с моими правами и обязанностями в этой области.

Данное Согласие действует с «___» ____________20___г. до «___» ____________20___г.

Условием прекращения действия данного Согласия является окончание срока действия согласия или отзыв согласия субъектом персональных данных. Согласие может быть отозвано Субъектом персональных данных или его уполномоченным представителем в письменной форме.

_____________________ (Фамилия Имя Отчество)

______________                                дата

_______________ подпись

 

Приложение 2 к Положению об обработке персональных данных

 

Форма отзыва согласия на обработку персональных данных

 

 

Директору МКУСО «Реабилитационный центр» Т.В.Поздеевой г.Бакал, ул 50 лет ВЛКСМ, дом 8 от _______________________________,                                 (Фамилия Имя Отчество) __________________________________, (адрес) паспорт серия _____ номер __________, выдан ____________________________                    (наименование органа, выдавшего паспорт) ___________________      ___.___._____                                                                    (дата выдачи)

 

Отзыв согласия на обработку персональных данных

 

 

Прошу Вас прекратить обработку моих персональных данных в связи с ___________________

                                                                                                                                                                                       (указать причину)

_____________________________________________________________________________________

_____________________________________________________________________________________ .

 

 

 

 

 

_____________________ (Фамилия Имя Отчество)

______________                                дата

_______________ подпись

 

Приложение 3 к Положению об обработке персональных данных

 

Форма заявления субъекта на получение его персональных данных от третьей стороны

 

Директору МКУСО «Реабилитационный центр» Т.В.Поздеевой Г.Бакал, ул 50 лет ВЛКСМ, дом 8 от _______________________________,                                 (Фамилия Имя Отчество) __________________________________, (адрес) паспорт серия _____ номер __________, выдан ____________________________                    (наименование органа, выдавшего паспорт) ___________________      ___.___._____                                                                    (дата выдачи)

Согласие

Я, __________________________________________________________, в соответствии со ст.86 Трудового Кодекса Российской Федерации, согласен на получение моих персональных данных, а

именно: _____________________________________________________________________________

(указать состав персональных данных)

_____________________________________________________________________________________

_____________________________________________________________________________________

для обработки в целях: ________________________________________________________________

                                                                                                                        (указать цели обработки)

_____________________________________________________________________________________

_____________________________________________________________________________________

_____________________________________________________________________________________

у следующих лиц: ____________________________________________________________________

                                                            (указать Ф.И.О. физического лица или наименование организации, у которой собираются данные)

_____________________________________________________________________________________

_____________________________________________________________________________________ .

        Я также утверждаю, что ознакомлен(а) с возможными последствиями моего отказа дать письменное согласие на их получение.

Данное Согласие действует с «___» ____________20___г. до «___» ____________20___г.

Условием прекращения действия данного Согласия является окончание срока действия согласия или отзыв согласия субъектом персональных данных. Согласие может быть отозвано Субъектом персональных данных или его уполномоченным представителем в письменной форме.

_____________________ (Фамилия Имя Отчество)

______________                                дата

_______________ подпись

 

 

Приложение 4 к Положению об обработке персональных данных

 

Форма заявления субъекта на передачу его персональных данных третьей стороне

 

Директору МКУСО «Реабилитационный центр» Т.В.Поздеевой Г.Бакал, ул 50 лет ВЛКСМ, дом 8 от _______________________________,                                 (Фамилия Имя Отчество) __________________________________, (адрес) паспорт серия _____ номер __________, выдан ____________________________                    (наименование органа, выдавшего паспорт) ___________________      ___.___._____                                                                    (дата выдачи)

Согласие

        Я, ______________________________________________________________________________, в соответствии со ст.88 Трудового Кодекса Российской Федерации согласен на передачу моих

персональных данных, а именно: _______________________________________________________

                                                                                                                        (указать состав персональных данных)

_____________________________________________________________________________________

_____________________________________________________________________________________

для обработки в целях: ________________________________________________________________

                                                                                                                        (указать цели обработки)

_____________________________________________________________________________________

_____________________________________________________________________________________

следующим лицам:____________________________________________________________________

                                                            (указать Ф.И.О. физического лица или наименование организации, которым сообщаются данные)

_____________________________________________________________________________________

_____________________________________________________________________________________ .

        Я также утверждаю, что ознакомлен(а) с возможными последствиями моего отказа дать письменное согласие на их передачу.

Данное Согласие действует с «___» ____________20___г. до «___» ____________20___г.

Условием прекращения действия данного Согласия является окончание срока действия согласия или отзыв согласия субъектом персональных данных. Согласие может быть отозвано Субъектом персональных данных или его уполномоченным представителем в письменной форме.

 

_____________________ (Фамилия Имя Отчество)

______________                                дата

_______________ подпись

 

 

Приложение 5 к Положению об обработке персональных данных

 

Форма журнала учета запросов от сторонних лиц

 

 

№ п/п	Дата запроса	Наименование запрашивающей стороны	Адрес запрашивающей стороны	ФИО субъекта ПДн, сведения о котором запрашиваются
1	2	3	4	5

 

 

Цель и краткое содержание запроса, запрашиваемые сведения	ФИО и должность исполнителя	Отметка о передаче / отказе в передаче персональных данных (номер, дата, форма, переданные сведения)	Примечания
6	7	8	9

 

 

 

 

 

 

 

Приложение 6 к Положению об обработке персональных данных

 

 

Форма журнала учета обращений граждан

 

№ п/п	Дата обращения	ФИО заявителя	Адрес заявителя	Цель и краткое содержание обращения, запрашиваемые сведения	ФИО и должность исполнителя	Отметка о выдаче ответа на обращение (номер, дата, форма, переданные сведения)	Примечания
1	2	3	4	5	6	7	8

Приложение 7 к Положению об обработке персональных данных

 

Форма соглашения о неразглашении персональных данных

 

Директору МКУСО «Реабилитационный центр» Т.В.Поздеевой г.Бакал, ул 50 лет ВЛКСМ, дом 8 от _______________________________,                                 (Фамилия Имя Отчество) __________________________________, (адрес) паспорт серия _____ номер __________, выдан ____________________________                    (наименование органа, выдавшего паспорт) ___________________      ___.___._____                                                                    (дата выдачи)

ОБЯЗАТЕЛЬСТВО

о неразглашении информации ограниченного доступа

(персональных данных)

Я, ___________________________________________________________________________,

Ф.И.О. работника

в качестве работника МКУСО «Реабилитационный центр» Саткинского муниципального района (далее – Учреждение) в период трудовых отношений и в течение 3 (трех) лет после их окончания обязуюсь:

1. не разглашать сведения, составляющие информацию ограниченного доступа (документированная информация, доступ к которой ограничивается в соответствии с законодательством РФ) Учреждения, которые мне будут доверены или станут известны по работе;

2. не передавать посторонним лицам и не раскрывать публично сведения, составляющие информацию ограниченного доступа Учреждения;

3. выполнять требования приказов, инструкций и положений по обеспечению сохранности информации ограниченного доступа Учреждения;

4. в случае попытки посторонних лиц получить от меня сведения об информации ограниченного доступа Учреждения сообщить об этом факте руководству;

5. сохранять информацию ограниченного доступа тех учреждений (организаций), с которыми у Учреждения имелись и (или) имеются деловые отношения;

6. не использовать знание информации ограниченного доступа Учреждения для занятий любой деятельностью, которая может нанести ущерб Учреждению, за исключением случаев, установленных законодательством РФ;

7. в случае моего увольнения все носители информации ограниченного доступа Учреждения (рукописи, черновики, машинные носители, распечатки на принтерах, изделия и пр.), которые находились в моем распоряжении в связи с выполнением мною трудовых обязанностей во время работы в Учреждении, передать Директору Учреждения;

8. об утрате или недостаче носителей информации ограниченного доступа, ключей, специальных пропусков, удостоверений от режимных помещений, хранилищ, сейфов, архивов, личных печатей, которые могут привести к разглашению информации ограниченного доступа Учреждения, а также о причинах и условиях возможной утечки сведений немедленно сообщать Директору Учреждения.

Я предупрежден(а), что в случае невыполнения любого из вышеуказанных пунктов настоящего Обязательства, ко мне могут быть применены меры дисциплинарного взыскания в соответствии с трудовым законодательством РФ, вплоть до увольнения из Учреждения.

Я ознакомлен(а) с «Инструкцией о порядке работы с персональными данными», «Положением об обработке персональных данных», «Перечнем персональных данных».

Мне известно, что нарушение требований по обеспечению сохранности информации ограниченного доступа Учреждения может повлечь уголовную, административную, гражданско-правовую или иную ответственность в соответствии с законодательством Российской Федерации, в виде лишения свободы, денежного штрафа, обязанности по возмещению ущерба Учреждению (убытков, упущенной выгоды) и др.

 

_____________________ (Фамилия Имя Отчество)

______________                                дата

_______________ подпись

 

Приложение 8 к Положению об обработке персональных данных

 

акт

 « ___» _____________  20____ г.                                                                                    №  ____

г. Челябинск

 

Уничтожения персональных данных субъекта(ов) персональных данных

 Директор МКУСО «Реабилитационный центр»

Т.В.Поздеева

г.Бакал, ул 50 лет ВЛКСМ, дом 8

 

Составлен комиссией:

 

Председатель –  __________________________________________________________________ .

Члены комиссии:

•  ____________________________________________________________________________ ;

•   ___________________________________________________________________________ ;

•   ___________________________________________________________________________ .

   

  На основании достижения цели обработки персональных данных, в соответствии с требованиями Федерального закона Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных» гл. 2, ст. 5, пункт 2, по решению комиссии, подлежат уничтожению следующие сведения, составляющие персональные данные:

№ п/п	Носитель	Категории сведений, содержащих персональные данные	Место хранения	Крайние даты	Кол-во ед. хранения	Примечание

 

Составлен в ______________________________ экз.:

1-й экз. - <адресат>

2-й экз. - <адресат>

Председатель комиссии	_____________________	_____________________
Члены комиссии:	_____________________	_____________________
	_____________________	_____________________
	_____________________	_____________________